• ベストアンサー
  • すぐに回答を!

ルートの追加について

教えてください。 図が分かりにく申し訳ありません。 プロキシサーバがあるLANネットワークにはファイアーウォールへのネットワークと パソコンへのネットワーク(VPNネットワークを挟んで)の2つがあります。 現在プロキシサーバのデフォルトゲートウェイは、 ファイアーウォールになっています。 ファイアーウォールにはPCのセグメントへのスタティックルートが書かれています。 プロキシサーバにはデフォルトゲートウェイがあれば、 ファイアーウォール経由でパソコンへ通信できますでしょうか? それとも、プロキシサーバにはパソコンのネットワークセグメントへのルートを 書いた方がいいのでしょうか? サーバ DMZ⇔ファイアーウォール⇔LANスイッチ⇔プロキシサーバ                                ⇔VPN router <------>VPN router パソコン よろしくお願いします。  

共感・応援の気持ちを伝えよう!

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.1

どのようなVPN構成であるかで変わりますが、FireWallに「PC側のネットワークセグメント」の スタティック経路を書いていることから、VPN間は、ネットワーク型の接続であると思います。 FireWallでの「PC側のネットワークセグメント」のスタティック経路のゲートウェイアドレスは どこになっているでしょうか? 1.質問の構成図のとおりであれば、FireWall上のPC側のネットワークセグメント」のスタティック経路の  ゲートウェイアドレスはPROXYサーバのFireWall側が設定されていると思います。 サーバDMZ | FireWall | ----------- | PROXYサーバ | --- | VPNルータ(センター側) | : | VPNルータ(PC側) | --- | PC この場合、PROXYサーバは、デフォルトルートをFireWallに向けただけでは、PROXY サーバは、「PC側のネットワークセグメント」もデフォルトルート側、すなわち、 FireWall方向にあると処理されてしまいます。 正しくは、VPNルータ(センター側)にあるのですから、 「PC側のネットワークセグメント」のスタティック経路として、VPNルータ(センター側) を指定する必要があります。 2.質問の構成図はパケットの流れる順であり、実際の構成図は以下のとおりであれば、  FireWall上の「PC側のネットワークセグメント」のスタティック経路のゲートウェイアドレスは、   VPNルータ(センター側)が設定されていると思います。 サーバDMZ | FireWall | ----------- | | |PROXYサーバ | VPNルータ(センター側) | : | VPNルータ(PC側) | --- | PC この場合(FirWall, VPNルータ、PROXYサーバの3つが同じセグメント)、PROXYサーバは、 デフォルトをFireWallに向けていても動く場合と動かない場合の両方が考えられます。 ※ICMP redirect機能(本題ではないため説明はしません)が有効な環境であれば動くが、  通常、FireWallでは無効にすることが多い そのため、PROXYサーバは、デフォルト経路をFireWallに向けるだけではなく、 「PC側のネットワークセグメント」のスタティック経路として、VPNルータ(センター側) を指定してあげる必要が出てきます。 3.2に似ているが、 VPNルータ、PROXYサーバが別セグメントになっている場合 サーバDMZ | FireWall | | |PROXYサーバ | VPNルータ(センター側) | : | VPNルータ(PC側) | --- | PC この場合、PROXYサーバはFireWallにデフォルトルートを向けるだけで良いのですが、 FireWall自身のセキュリティ設定も当然影響します。 FireWallでパケットを遮断していたらどうしようもありません。 と、3以外では、いずれにせよ、「PC側のネットワークセグメント」のスタティック経路として、 PNルータ(センター側)を指定してあげることには違いはありません。 その上で、PROXYサーバ自身のデフォルトゲートウェイですが、到達したいネットワークが 限られているのであれば、デフォルトゲートウェイではなく、個別のネットワーク単位に スタティックルートを設定した方が良い場合があります。 サーバDMZのセグメントにだけ到達できればよいのであれば、デフォルトルートは設定せず 「サーバDMZのセグメント」の経路をFireWallに向けるというものです。

共感・感謝の気持ちを伝えよう!

関連するQ&A

  • Internet(サイト)の接続速度が遅い

    初心者です。 お願いします。 現在、インターネットVPNにてネットワークを形成しています。ファイアウォールで内部セグメント、DMZに分かれている内で、DMZにwebサーバ、外部メール(DNSサーバ)、VPNルータ経由で内部に社内メールサーバ(プロキシサーバ)があります。 外部からインターネットアクセスするとどうもアクセス速度が遅いです。何か解決策がございますか? ご回答宜しくお願いします。 環境: プロキシサーバ:Redhat3.0         squid.conf編集済み 設定: squid.conf:http=8080       acl xx.xx.1.0 http_accses       上記を入力 INTERNETオプション:       プロキシアドレス設定         

  • スタティックルート?

    Firewallなどのルーター上の別インターフェースにそれぞれ同一セグメントを割り当てたとき(下図のように)、LANセグメント-DMZセグメント間のパケット通信は問題なく可能でしょうか?(スタティックルートを使用?) このような設定はよくあるものなのか、それともirregularであまりお勧めできないでしょうか? |WAN-INT |(GB:A.B.C.D/29) [[[[ファイアーウォール]]]] |DMZ-INT |LAN-INT |(PV:E.F.G.0/24) |(PV:E.F.G.0/24) | | [SVR] | (PV:E.F.G.200/24) [CLIENT PCs] (PV:E.F.G.xx/24)

  • デフォルトルートの切り替えについて

    YAMAHAのRTX1000でip route default gatewayで指定したルートが障害の場合、別のゲートウェイに切り替えるという設定はどのように記述したらいいかご教示頂けますでしょうか。 ip route default gatewayでLAN2の先にあるゲートウェイを指定している状態で障害が発生した場合、LAN3の先にあるゲートウェイに切り替えたいと考えています。 VPNの場合、障害にバックアップのトンネルに切り替えることができるので、デフォルトルートも障害時に切り替えられるのではないかと考えています。 ---------------------------------------- tunnel backup tunnel 2 switch-interface=on ---------------------------------------

  • VPN接続時のWEBの閲覧について

    こんにちは。 現在Baffalo製のVPNサーバ機能付ルータを自宅に設置しまして、外出先からVPN接続可能な環境を構築しています。 そこで質問なのですが、外出先の無線LAN環境から自宅のネットワークにVPNで参加した上で、PCのWEBブラウザを立ち上げた場合、自宅のVPNサーバ(ルータ)を経由してWEBサイトにアクセスするのでしょうか?それとも外出先のLANのデフォルトゲートウェイからアクセスするのでしょうか? 私が考えるに全ての通信は相手先VPNサーバを経由しての通信するのかなと考えたのですが、相手先のセグメントに宛てた通信のみをVPNを通して通信、他の通信は現在接続しているデフォルトゲートウェイから通信する、といった考えもありなのかなと思います。 また、VPNに接続したPCのコマンドプロンプト上でipconfigを見ても、VPNの欄のデフォルトゲートウェイが[ 0 0 0 0 ]となっていますし、radiko等の地域判定が可能なサイトにVPN接続でアクセスすると自宅の都道府県が表示されたり、極たまに外出先の都道府県が表示されたりよく判りません… どなたかご回答よろしくお願いいたします。

    • ベストアンサー
    • VPN
  • セグメントを追加したい。

    うちの社のネットワークなんですが、 LAN上にセグメントを一つ追加しました。 仮に 192.168.2.0 とします。 FWサーバーはソラリス8なのですが、 ここにプロキシも入っているため、 通過させないといけません。 しかし、担当者のメモには route と arp に追加しといて としか書いてありませんでした。 どのようにしたらよいのでしょうか? 通常、追加するとなると FWが192.168.1.1 とすると #route add net 192.168.2.0 192.168.1.1 1 こんな感じでいいでしょうか。 arp はどうでしょうか。

  • PCのルートについて

    あるPCのデフォルトゲートウェイがAというルータのインターフェースに設定されています。 その先の方にあるネットワークと現在通信できています。 そのPCにコマンドプロンプトでBという別のルータを経由するルートを追加しますが、 そのBというルータの先に、同じネットワークアドレスと通信させようとします。 >route addで追加する際に、ネットワークアドレスを指定して追加した場合 デフォルトゲートウェイよりも、route addで追加したルートの方を経由、つまり優先されて 通信するのでしょうか?メトリックとかでどちらが優先されるというのがあるのでしょうか?

  • VPNサーバ化(Win2003)以前でつまづいています。

    おはようございます。 よろしくお願いします。 Windows2003ServerをVPNサーバーにしようと考えているのですが、その前の段階でつまずいてしまっています。 ネットワークの構成としては、 ADSLモデムルータ IP 192.168.2.10 || LAN2 IP 192.168.2.1 サブネット 255.255.255.0 デフォルトゲートウェイ 192.168.2.10 Windows2003Server LAN1 IP 192.168.1.1 サブネット 255.255.255.0 デフォルトゲートウェイ なし || クライアントPC IP192.168.1.10 サブネット 255.255.255.0 デフォルトゲートウェイ 192.168.1.1 となっています。 Windows2003Serverからはインターネットに繋がるのですが、 クライアントのPCからは繋がりません。 RRASを有効にして静的ルートの追加で、 インターフェース LAN1 宛先 0,0,0,0 ネットワークマスク 0,0,0,0 ゲートウェイ 192.168.2.1 (この設定自体が間違っているような気もしますが・・・) としてみたりしたのですが、ダメでした。 http://oshiete1.goo.ne.jp/qa317254.html?ans_count_asc=1 ここを参考にすると、デフォルトゲートウェイを削除するだけでよいような印象を持ちましたが、 どこをどのように設定すればよいのでしょうか。 アドバイスお願いします。

  • プロキシ経由でインターネットアクセスする場合のDNSリゾルバは?

    情報処理試験の問題でいまいち理解できないところがあったので教えてください。 前提 1.ファイアウォールで内部セグメント、DMZ、外部セグメントに分かれている。 2.DMZにプロキシサーバとDNSサーバがある。 3.インターネットアクセスは全てプロキシサーバ経由するよう設定された内部セグメントのPCからhttp://www.example.comへWEBアクセスをしようとした。 このとき、FQDNに対する名前解決をするリゾルバはどの装置か。 という問題で、回答はプロキシサーバとなっています。 ここが納得できないところで、私はリゾルバはDMZのDNSサーバなのではと思っています。 この場合の処理は以下のようになっていると思います。 A.プロキシサーバがwww.example.comの名前解決をDNSサーバに依頼する。 B.DNSサーバはフルサービスリゾルバとして動作しwww.example.comのIPアドレスをプロキシサーバに返す。 C.プロキシサーバはそのIPアドレスのホストにアクセスする。 プロキシサーバはスタブリゾルバである(?)から、という意味で回答がプロキシサーバと考えるのが妥当なのでしょうか。 DNSのリゾルバに関して完全に理解できていないかもしれないので間違ったことを書いているかもしれませんがよろしくお願いします。

  • PCに書かれているルートについて

    教えてください。 サーバのデフォルトゲートウェイを変える作業があります。 変える前までは、別のゲートウェイを設定していました。 質問ですが、新しく設定する方へ既にルートが多数書かれていました。 そのルート先の特定のPCと疎通を取るために書かれていました。PC一台ずつ固定で 書かれていました。 デフォルトゲートウェイを変えたら、既に書かれているルートと 重複することになると思われるのですが、 サーバに書いてあったルートは全て削除しないと誤作動しますでしょうか? それとも残しておいても問題ないでしょうか?

  • 外向け(DMZ)・内向けの名前解決について

    現在、ルータを2台接続し、 バリアセグメント(DMZ)とLAN側とネットワーク帯に分けています。 それぞれのネットワーク帯の名前解決はできており、 それぞれのネットワーク対からインターネットを閲覧できることも確認しています。 また、バリアセグメント(DMZ)内サーバからバリアセグメント(DMZ)内設置の公開webサーバを閲覧できることも確認できております。 ここで、疑問にもっておりますのは、 LAN側内設置のクライアントから バリアセグメント(DMZ)内設置の公開webサーバを閲覧することなのですが、どのように設定すればよろしいのでしょうか? IPaddressを直打ちすれば閲覧できることは確認しています。 よろしくお願いします。